Что нужно знать об antifraud перед вбивом и не только.

В этой теме я бы хотел рассмотреть как можно идентифицировать пользователя, работу оператора, как нужно анализировать шоп.

1)Начнём с методов идентификации пользователей.

Зачем нужна идентификация ? В общем случае - чтобы понять, был ли этот человек на сайте, на каких сайтах он был, чтобы давать контекстную рекламу. В частном случае - чтобы не давать кардерам делать их чёрные дела.
Многие слышали, об идентификации Canvas Fingerprint.
Вот его критери:

[+] Canvas Fingerprinting



Отпечаток составляется из всех этих параметров. Каждый параметр имеет допустимую погрешность, то есть если вы измените только 1 из этих параметров, существенно ничего не изменится (кроме версии браузера, самой версии операционной системы). Допустим я изменил Timezone, общий отпечаток не поменяется, ровно как и включу или отключу я DoNotTrack, тем более они имеют маленький вклад в сам отпечаток. Однако поменяй я несколько параметров, да ещё и установлю Microsoft Office (сам офис не нужен, нужны лишь шрифты, которые идут в комплекте с ним), фингерпринт изменится.

Какие параметры нужно изменять, чтобы добиться изменения фингерпринта ?
1)Версию браузера 2)Сам браузер, с хрома на фаерфокс к примеру 3)Версию винды 4) шрифты (пакет офиса) 5)Плагины. Каждый из первых трёх параметров изменяет фингерпринт, остальные два лишь в совокупности (не считая языка, таймзоны, разрешения экрана, глубины цвета т т.д. которые вносят очень маленький % в отпечаток и по сути он вряд ли будет изменяться)

Ещё я бы хотел сказать пару слов о WebGl, многие в курсе, что он способен определить имя драйвера графической карты, но не все в курсе, как его изменить.



(Сайт )
Не очень, правда ? Так могут легко узнать, что мы сидим с виртуалки.
Изменить это несложно, пишем в поиске regedit.
Пишем в поиске название нашей видеокарты, в моём случае SVGA 3D
Затем ищем параметр DriverDesc и изменяем его правой кнопкой мыши, Modify



Пишем, что хотим ) Но лучше реальную модель
После этого перезагружаемся и вуаля



По идентификации я упомяну ещё в конце этой статьи, когда будем разбирать анализ сайта.

2) Работа оператора

После того, как мы всё сделали и видим надпись order processing есть два пути развития событий, в зависимости от того, сколько у нас RiskScore 1) автоматическое подтверждение 2) подтверждение оператором.

В первом случае радуемся. Во втором случае оператор будет смотреть что мы купили (товары в зоне риска), нашу историю (когда мы заходили), дату регистрации, активность (тот самый разогрев шопа), правильность адреса (как написан и что там вообще стоит на карте), время покупки (ночь или рабочее время), совпадение OS, чистоту IP, расстояние между IP и адресом холдера и много других параметров. Параметры могут разниться в зависимости от шопа, вот примерный список.

[+] Potential fraud



Так же стоит подбирать туннель/носок, так, чтобы было совпадение OS.

Теоретически можно посмотреть на какие сайты заходил пользователь, по запросу Js. Допустим, если мы логинились на Facebooke, то это вызовет большее доверие, несомненно. Но эта инфа недостоверная, поэтому заморачиваться или нет дело только Ваше.

Сам оператор тоже человек и безусловно может распознать поведение присущее кардеру, как уже много раз говорили, стоит вести себя как обычный покупатель и продумывать всё до мелочей, даже пожелание к покупке стоит писать.

3)После того, как мы нашли шоп, с которым хотим работать, желательно узнать, какие запросы он отправляет. Для этого нам поможет расширени Chameleon (ссылка )
Устанавливаем его и проходим все этапы от регистрации до покупки, и смотрим, какие запросы он отправляет



Это нам поможет узнать, что же от нас хочет шоп, и как под него подстроиться и узнать наличие фингерпринта.

Я попытался кратко рассмотреть фингерпринт, идентификацию пользователя как таковую и операторскую работу, конечно всё это может разниться в зависимости от шопа, в некоторых фингерпринта и вовсе нет.

Все эти технические составляющие, такие как настройка системы. замыкание на себя (webrtc), поиск чистого туннеля, важны, но так же на успешность вбива безусловно большое влияние оказывает сам банк. Есть бины, которые находятся в чёрном списке(неактуальные). Так же сам банк может отменить оплату, если, допустим, заметит подозрительную активность.

Главное быть не как все ( кардеры), но одновременно как все (обычные покупатели).

(c) Perfecto